När plundringarna i Nordeas nätbank avslöjades av CS i början av året kritiserade flera säkerhetsexperter bankens inloggningssystem baserat på skrapkoder som kan användas utan tidsgräns och i valfri ordning.
I höst ska det kritiserade säkerhetssystemet bytas ut.
Nordeas nya säkerhetssystem består av en kortläsare med siffertangenter. Kunden använder sitt vanliga bankomatkort i kortläsaren och knappar in sin vanliga bankomatkod. Kunden får sedan en tidsbegränsad engångskod på datorskärmen som knappas in i kortläsaren.
Kortläsaren kan också användas för säkra betalningar och e-legitimation.
När ska det ske?
– Jag vågar inte säga exakt.
Magnus Norrström är den första av de ledande cheferna på banken som bryter tystnaden intrången på nätbanken, där kundkonton länsades med hjälp av skräddarsydd variant av den sofistikerade trojanen Haxdoor.
– Problemet är att du aldrig kommer att kunna skydda dig mot sådant här helt och hållet. Det är hela tiden en kapplöpning mellan de som angriper och de som försvarar sig mot angreppen, säger Magnus Norrström.
Förekommer intrången mot er nätbank fortfarande?
– Ja.
I samma omfattning?
– Det vågar jag inte säga. Vissa saker har vi ändrat för att hindra att det sker. Men då dyker det upp nya saker. Som jag sa, det är en kapplöpning hela tiden.
Man modifierar de här trojanerna som används?
– Precis.
På en punkt hävdar Magnus Norrström att det finns skäl för Nordea att vara självkritiskt när det gäller angreppen mot nätbanken.
– Säkerhetslösningarna ser lite olika ut i nätbankerna. De är mer eller mindre tacksamma att försöka angripa. Här har man tre faktorer. Den första är säkerheten. Den andra är kostnaden. Den tredje faktorn är användarvänligheten.
– Dessa tre ska balanseras. Den balansen tycker jag att man kan säga att vi kanske inte varit tillräckligt uppmärksamma på, säger han.
– Vi har haft en lösning som egentligen varit tillräckligt säker, men som samtidigt varit på en lägre nivå än andra nätbankers. Ska man angripa ett system följer man minsta motståndets lag och tar det system där det är enklast, summerar han.
Vad är den viktigaste lärdomen av den här historien för Nordeas del?
– Det viktiga är att man kan inte tävla om nätkunderna med hjälp av säkerhet. Men man måste samtidigt se upp så man inte hamnar i det spann där man blir utsatt. Man ska befinna sig i den säkerhetsmässiga mittfåran bland nätbankerna. Man ska ha en lagom bra säkerhet med hänsyn den här balansen jag talade om, säger Magnus Norrström.
Blev du överraskad när trojanattackerna inträffade?
– Nej, för vår del är inte frågan om, utan när sådant här händer. Vi måste vara beredda på att något som detta händer i en bank av vår volym, säger Magnus Norrström.
